Postranní lišta

SPRÁVCE IT

Active Directory

Windows Servery

Infrastruktura

Security



ŘIDIČ

Technika, IVECO

Windows Firewall: Které pravidlo blokuje spojení?


Pokud je spojení z neznámého důvodu blokováno (nebo povoleno), tak může vzniknout potřeba najít pravidlo, kterým k nežádoucímu stavu dochází.

Tipy pro troubleshooting

  • Při existenci jakéhokoliv FW pravidla, které je vytvořeno přes AD GPO a nedostupném řadiči domény automaticky nefunguje nové lokálně vytvořené FW pravidlo. Je potřeba obnovit připojení na řadič domény a GPO načíst a aplikovat (gpupdate /force).
  • FW pravidla mají „nevyjádřenou prioritu“ - čím více je pravidlo specifické (detailní), tím má vyšší prioritu.

Vyhledání FW pravidla

  1. Zapnout auditování zahozených spojení příkazem auditpol /set /subcategory:„Filtering Platform Packet Drop“ /success:disable /failure:enable
  2. Reprodukovat problém
  3. Spustit příkaz netsh wfp show state, ten vyexportuje všechny rules do .XML souboru.
  4. V security logu najít zahozený paket, tam rule ID a v .XML souboru najít podle rule ID pravidlo, které způsobilo zahození paketu.
  5. Auditování spojení podle potřeby vypnout příkazem auditpol /set /subcategory:„Filtering Platform Packet Drop“ /success:disable /failure:disable

Security log, Filter Run-Time ID

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          30.12.2021 5:56:38
Event ID:      5152
Task Category: Filtering Platform Packet Drop
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      WL354191.xxx
Description:
The Windows Filtering Platform has blocked a packet.

Application Information:
	Process ID:		4
	Application Name:	System

Network Information:
	Direction:		Inbound
	Source Address:		192.168.0.1
	Source Port:		33296
	Destination Address:	192.168.0.130
	Destination Port:	137
	Protocol:		17

Filter Information:
	Filter Run-Time ID:	1515918
	Layer Name:		Receive/Accept
	Layer Run-Time ID:	44

XML soubor, filterId

.
.
<action>
	<type>FWP_ACTION_BLOCK</type>
	<filterType/>
</action>
<filterId>1515918</filterId>
.
.

Tento web používá cookies. Používáním těchto stránek souhlasíte s ukládáním cookies do vašeho počítače. Také berete na vědomí, že jste si přečetli a porozuměli našim Zásadám ochrany osobních údajů. Pokud nesouhlasíte s odchodem z webu.Více informací
wf-drop.txt · Poslední úprava: 2021/12/30 15:51 autor: Jiří Schuster

Nástroje pro stránku